Sicherheit beim Online-Banking
Die Unterschiede der TAN-Verfahren
Dieser Clip gibt die Antworten:
Keine Lust aufs Video? Hier ist die Zusammenfassung als Text:
Die Abkürzung TAN steht für das Bandwurmwort "Transaktionsauthentifizierungsnummer" (englisch: transaction authentication number. Das ist ein Zahlencode, mit dem man beweist, dass man berechtigt ist, eine Überweisung oder einen anderen Online-Banking-Vorgang durchzuführen – ähnlich wie eine Unterschrift. Diesen Code kann man auf unterschiedliche Weise von der Bank erhalten:
iTAN-Liste
Gibt es schon gar nicht mehr. Papierlisten dürfen seit dem 14. September 2019 nicht mehr für Online-Banking eingesetzt werden. Dabei werden die TANs aus einer vorher erstellten Liste ausgesucht und eingesetzt. Bewertung: Die Methode ist unsicher, weil die TANs nicht individuell für einen einzelnen Auftrag erstellt werden und daher leicht zu missbrauchen sind.
mTAN/SMS-TAN
Für jede Überweisung, die man tätigen möchte, benötigt man die TAN. Beim mTAN-Verfahren erhält man sie per SMS. Bewertung: Diese Methode ist relativ sicher, aber die TAN kann abgefangen werden. SMS sind nicht verschlüsselt.
Push-TAN
Im Unterschied zur mTAN hat man hier eine spezielle App, mit der die TAN generiert wird. Bewertung: Hohe Sicherheit, wenn für App und Online-Banking verschiedene Apps oder Geräte verwendet werden.
Chip-TAN
Beim Chip-TAN-Verfahren kommt ein TAN-Generator in Kombination dem Chip auf der Bankkarte zum Einsatz. Der Generator ermittelt durch Auslesen eines flackernden Felds auf dem Bildschirm die jeweils erforderliche TAN. Bewertung: Hohe Sicherheit, da zwei getrennte Geräte verwendet werden und zusätzlich eine Bankkarte nötig ist.
Photo-TAN
Das Photo-TAN-Verfahren läuft im Prinzip so wie das Chip-TAN-Verfahren. Hier kommt eine Grafik auf dem PC-Monitor zum Einsatz, die über die Smartphone-Kamera von der Banking-App gelesen wird. Bewertung: Hohe Sicherheit, weil nicht für App und Online-Banking das gleiche Smartphone verwendet wird.
Fazit:
Bei modernen Verfahren wird jede TAN aus den Überweisungsdaten entwickelt. Dadurch sind die Codes nur für bestimmte Vorgänge und zeitlich begrenzt nutzbar. Je mehr Geräte beteiligt sind, desto sicherer ist der Vorgang. Auch bei mobilen TAN-Verfahren sollte man am besten nicht alles über ein Smartphone abwickeln.
Achtung, geheim halten!
Egal auf welchem Wege ihr eine TAN bekommt: Sagt sie niemandem! Es gibt Kriminelle, die sich am Telefon oder auf andere Weise als Bankmitarbeiter ausgeben und nach einer TAN fragen. Echte Bankmitarbeiter machen das aber niemals!
(hamo/Wi)
Wie hat dir der Artikel gefallen? Top oder Flop?
-
21 -
7
4 Kommentar(e)
Re: Unvollständig
Hallo Horst,
danke für deine Anmerkung. Wir haben uns bei dem Beitrag auf gängige Verfahren beschränkt. Darüber hinaus gibt es weitere, die wir nicht aufgeführt haben.
Die HBCI-Lösung erfordert ein spezielles Lesegerät, eine Chipkarte (beides ähnlich wie beim Chip-TAN-Verfahren) und eine spezielle Software. Allerdings ist es nicht sehr weit verbreitet und wird inzwischen auch schon nicht mehr als sicherste Methode angesehen. So heißt es z.B. auf sparkasse.de in der Beschreibung von HBCI: "Das Banking mit HBCI wird heute nicht mehr von den Sparkassen empfohlen."
Viele Grüße,
dein checked4you-Team.
Re: Traurig
Hallo Chris,
na gut, die Infos gibt's jetzt auch zum Lesen ;-).
Viele Grüße
Hauke
Unvollständig
Ein nach Expertenmeinung sehr sicheres Verfahren fehlt im Video. Das HBCI-Verfahren, besonders bei Betrieb des Lesegerätes mit separater Tastatur, wurde nach meinem Kenntnisstand noch nie geknackt. Das Argument, dass immer nur an einem Gerät damit gearbeitet werden kann, ist bei der Sicherheit von Bankgeschäften für mich absoluter Nonsens.
Traurig
Ein Artikel der Verbraucherzentrale NRW dessen Information nur in Form eines YouTube-Videos verfügbar ist, eine klare Warnung bezügl. Datentransfer über dessen Art, Umfang und Verwendungszweck keine Auskunft gegeben werden kann ... wie weit wird hier noch gedacht? Gehört es nicht zu den primären Aufgaben, speziell dieser Organisation, Informationen in sicherer Form zur Verfügung zu stellen? Für mich wirklich nur traurig.